interactive GDPR 2016/0679 HR

1. Zabranjuje se obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.

2. Stavak 1. ne primjenjuje se ako je ispunjen jedno od sljedećeg:

(a)	ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha, osim ako se pravom Unije ili pravom države članice propisuje da ispitanik ne može ukinuti zabranu iz stavka 1.;

(b)

obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;

(c)	obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički ili pravno nije u mogućnosti dati privolu;

(d)

obrada se provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika;

(e)	obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;

(f)	obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god sudovi djeluju u sudbenom svojstvu;

(g)	obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika;

(h)

obrada je nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3.;

(i)

obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne;

(j)

obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. na temelju prava Unije ili prava države članice koje je razmjerno cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.

3. Osobni podaci iz stavka 1. mogu se obrađivati u svrhe navedene u stavku 2. točki (h) kada te podatke obrađuje stručno tijelo ili se podaci obrađuju pod odgovornošću stručnog tijela koje podliježe obvezi čuvanja poslovne tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su odredila nadležna nacionalna tijela ili druga osoba koja također podliježe obvezi čuvanja tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su utvrdila nadležna nacionalna tijela.

4. Države članice mogu zadržati ili uvesti dodatne uvjete, uključujući ograničenja s obzirom na obradu genetskih podataka, biometrijskih podataka ili podataka koji se odnose na zdravlje.

Članak 13.

Informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika

1. Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sve sljedeće informacije:

(a)	identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade;

(b)	kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;

(c)	svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;

(d)	ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane;

(e)	primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i

(f)

ako je primjenjivo, činjenicu da voditelja obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članaka 46. ili 47. ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje.

2. Osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada:

(a)	razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;

(b)	postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;

(c)	ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;

(d)	pravo na podnošenje prigovora nadzornom tijelu;

(e)	informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;

(f)	postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

3. Ako voditelj obrade namjerava dodatno obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci prikupljeni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2.

4. Stavci 1., 2. i 3. ne primjenjuju se ako i u onoj mjeri u kojoj ispitanik već raspolaže informacijama.

Članak 35.

Procjena učinka na zaštitu podataka

1. Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. Jedna procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike.

2. Pri provođenju procjene učinka na zaštitu podataka voditelj obrade traži savjet od službenika za zaštitu podataka, ako je on imenovan.

3. Procjena učinka na zaštitu podataka iz stavka 1. obvezna je osobito u slučaju:

(a)	sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca;

(b)	opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.; ili

(c)	sustavnog praćenja javno dostupnog područja u velikoj mjeri.

4. Nadzorno tijelo uspostavlja i javno objavljuje popis vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka u skladu sa stavkom 1. Nadzorno tijelo priopćuje te popise Odboru iz članka 68.

5. Nadzorno tijelo može također uspostaviti i javno objaviti popis vrsta postupaka obrade za koje nije potrebna procjena učinka na zaštitu podataka. Nadzorno tijelo priopćuje te popise Odboru.

6. Prije usvajanja popisa iz stavaka 4. i 5. nadležno nadzorno tijelo primjenjuje mehanizam konzistentnosti iz članka 63. kada takvi popisi obuhvaćaju aktivnosti obrade koje su povezane s ponudom robe ili usluga ispitanicima ili s praćenjem njihova ponašanja u nekoliko država članica ili koje mogu znatno utjecati na slobodno kretanje osobnih podataka unutar Unije.

7. Procjena sadrži barem:

(a)	sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade;

(b)	procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;

(c)	procjenu rizika za prava i slobode ispitanikâ iz stavka 1.; i

(d)	mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.

8. Poštovanje odobrenih kodeksa ponašanja iz članka 40. od strane relevantnih voditelja obrade ili izvršitelja obrade uzima se u obzir pri procjeni učinka postupaka obrade koje provode ti voditelji obrade ili izvršitelji obrade, posebno u svrhe procjene učinka na zaštitu podataka.

9. Prema potrebi voditelj obrade od ispitanika ili njihovih predstavnika traži mišljenje o namjeravanoj obradi, ne dovodeći u pitanje komercijalne ili javne interese ili sigurnost postupka obrade.

10. Ako obrada u skladu s člankom 6. stavkom 1. točkom (c) ili (e) ima pravnu osnovu u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, ako su tim pravom uređuju posebni postupci obrade ili skupina dotičnih postupaka te je procjena učinka na zaštitu podataka već provedena kao dio opće procjene učinka u kontekstu donošenja pravne osnove, stavci od 1. do 7. ne primjenjuju se, osim ako države članice smatraju da je potrebnoprovesti takvu procjenu prije aktivnosti obrade.

11. Prema potrebi voditelj obrade provodi preispitivanje kako bi procijenio je li obrada provedena u skladu s procjenom učinka na zaštitu podataka barem onda kada postoji promjena u razini rizika koji predstavljaju postupci obrade.

Članak 41.

Praćenje odobrenih kodeksa ponašanja

1. Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela iz članaka 57. i 58., praćenje sukladnosti s kodeksom ponašanja u skladu s člankom 40. može provoditi tijelo s odgovarajućim stupnjem stručnosti za predmet kodeksa i koje je u tu svrhu akreditiralo nadležno nadzorno tijelo.

2. Tijelo iz stavka 1. može biti akreditirano za praćenje sukladnosti s kodeksom ponašanja ako je to tijelo:

(a)	nadležnom nadzornom tijelu zadovoljavajuće dokazalo svoju neovisnost i stručnost u predmetu kodeksa;

(b)	uspostavilo postupke koji mu omogućuju procjenu kvalificiranosti voditelja obrade i izvršitelja obrade za primjenu kodeksa, praćenje njihova poštovanja odredbi kodeksa i periodičnog preispitivanja njegova funkcioniranja;

(c)	uspostavilo postupke i strukture za rješavanje pritužbi na kršenja kodeksa ili na način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli kodeks i učinilo te postupke i strukture transparentnima ispitanicima i javnosti; i

(d)	nadležnom nadzornom tijelu na njemu zadovoljavajući način dokazalo da njegove zadaće i dužnosti ne dovode do sukoba interesa.

3. Nadležno nadzorno tijelo predaje nacrt kriterija za akreditaciju tijela iz stavka 1. ovog članka Odboru u skladu s mehanizmom konzistentnosti iz članka 63.

4. Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela i odredbe poglavlja VIII., tijelo iz stavka 1. ovog članka, uz primjenu prikladnih zaštitnih mjera, poduzima odgovarajuće radnje u slučajevima u kojima voditelj obrade ili izvršitelj obrade krše kodeks, što uključuje suspendiranje ili isključivanje dotičnog voditelja obrade ili izvršitelja obrade iz kodeksa. Ono izvješćuje nadležno nadzorno tijelo o takvim radnjama i razlozima za njihovo poduzimanje.

5. Nadležno nadzorno tijelo povlači akreditaciju tijela iz stavka 1. ako se ne ispune uvjeti za akreditaciju ili oni više nisu ispunjeni, ili radnje koje provodi tijelo krše ovu Uredbu.

6. Ovaj članak ne primjenjuje se na obradu obavljaju tijela javne vlasti i javna tijela.

Članak 42.

Certificiranje

1. Države članice, nadzorna tijela, Odbor i Komisija potiču, osobito na razini Unije, uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u svrhu dokazivanja da su postupci obrade koje provode voditelj obrade i izvršitelj obrade u skladu s ovom Uredbom. Uzimaju se u obzir posebne potrebe mikro, malih i srednjih poduzeća.

2. Osim što ih poštuju voditelji obrade ili izvršitelji obrade koji podliježu ovoj Uredbi, mehanizmi certificiranja zaštite podataka, pečati ili oznake odobreni na temelju stavka 5.ovog članka mogu se uspostaviti kako bi se dokazalo postojanje odgovarajućih mjera zaštite koje osiguravaju voditelji obrade i izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3. u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (f). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih mjera zaštite, među ostalim u pogledu prava ispitanika.

3. Certificiranje je dobrovoljno i dostupno putem procesa koji je transparentan.

4. Certificiranje na temelju ovog članka ne umanjuje odgovornost voditelja obrade ili izvršitelja obrade za poštovanje ove Uredbe i ne dovodi u pitanje zadaće i ovlasti nadzornih tijela nadležnih na temelju članka 55. ili članka 56.

5. Certificiranje na temelju ovog članka izdaju certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo, na temelju kriterija koje je odobrilo to nadležno nadzorno tijelo na temelju članka 58. stavka 3., ili Odbor na temelju članka 63.Ako je Odbor odobrio kriterije, iz toga može proizaći zajednička certifikacija: Europski pečat za zaštitu podataka.

6. Voditelj obrade ili izvršitelj obrade koji svoje obrade predaje mehanizmu certificiranja pruža sve informacije i pristup svojim aktivnostima obrade koje su potrebne za vođenje postupka certificiranja certifikacijskom tijelu iz članka 43. ili prema potrebi nadležnom nadzornom tijelu.

7. Certifikat se voditelju obrade ili izvršitelju obrade izdaje na najviše tri godine i može se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi. Certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo povlače certifikat prema potrebi ako se ne ispune zahtjevi za certificiranja ili ako oni više nisu ispunjeni.

8. Odbor sve mehanizme certificiranja, pečate i oznake za zaštitu podataka unosi u evidenciju i objavljuje ih na bilo koji prikladan način.

Članak 43.

Certifikacijska tijela

1. Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela iz članaka 57. i 58., certifikacijska tijela s odgovarajućim stupnjem stručnosti iz područja zaštite podataka, nakon što se o tome obavijesti nadležno tijelo kako bi ono moglo prema potrebi izvršavati svoje ovlasti na temelju članka 58. stavka 2. točke (h), izdaje i obnavlja certificiranje. Države članice osiguravaju da je ta certifikacijska tijela akreditiralo jedno ili oba sljedeća tijela:

(a)	nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.;

(b)	nacionalno akreditacijsko tijelo imenovano u skladu s Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća (20) u skladu s EN-ISO/IEC 17065/2012 i s dodatnim zahtjevima koje određuje nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.

2. Certifikacijska tijela iz stavka 1. akreditirana su u skladu sa tim stavkom. samo ako su:

(a)	nadležnom nadzornom tijelu zadovoljavajuće dokazala svoju neovisnost i stručnost u predmetu certificiranja;

(b)	obvezala se poštovati kriterije iz članka 42. stavka 5. koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili Odbor na temelju članka 63.;

(c)	uspostavila postupke za izdavanje, periodično preispitivanje i povlačenje certificiranja, pečata i oznaka za zaštitu podataka;

(d)	uspostavila postupke i strukture za rješavanje pritužbi na kršenja certifikacije ili način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli certificiranje, i učinila te postupke i strukture transparentnima ispitanicima i javnosti; i

(e)	nadležnom nadzornom tijelu na zadovoljavajući način dokazala da njegove zadaće i dužnosti ne dovode do sukoba interesa.

3. Akreditacija certifikacijskih tijela iz stavaka 1. i 2. ovog članka provodi se na temelju kriterija koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili Odbor na temelju članka 63. Ako je akreditacija provedena na temelju stavka 1. točke (b) ovog članka, ti zahtjevi služe kao nadopuna zahtjevima predviđenima u Uredbi (EZ) br. 765/2008 i tehničkim pravilima kojima su opisani metode i postupci certifikacijskih tijela.

4. Certifikacijska tijela iz stavka 1. odgovorna su za ispravnu procjenu koja dovodi do certifikacije ili povlačenja takvog certifikata ne dovodeći u pitanje odgovornosti voditelja obrade ili izvršitelja obrade da poštuju ovu Uredbu. Akreditacija se izdaje na najviše pet godina i može se obnoviti pod istim uvjetima ako certifikacijsko tijelo i dalje ispunjava relevantne zahtjeve iz ovog članka.

5. Certifikacijska tijela iz stavka 1. nadležnim nadzornim tijelima navode razloge za davanje ili povlačenje zatraženog certifikata.

6. Nadzorno tijelo u lako dostupnom obliku objavljuje zahtjeve iz stavka 3. ovog članka i kriterije iz članka 42. stavka 5. Nadzorna tijela prosljeđuju te zahtjeve i kriterije Odboru. Odbor sve mehanizme certificiranja i pečate za zaštitu podataka unosi u evidenciju te ih objavljuje na bilo koji prikladan način.

7. Ne dovodeći u pitanje poglavlje VIII., nadležno nadzorno tijelo ili nacionalno akreditacijsko tijelo povlači akreditaciju certifikacijskog tijela na temelju stavka 1. ovog članka ako se ne ispune uvjeti za akreditaciju ili oni više nisu ispunjeni, ili ako se radnjama koje provodi certifikacijsko tijelo krši ova Uredba.

8. Komisija ima ovlasti donositi delegirane akte u skladu s člankom 92. u svrhu preciziranja zahtjeva koje je potrebno uzeti u obzir za mehanizme certificiranja zaštite podataka iz članka 42. stavka 1.

9. Komisija može donijeti provedbene akte kojima propisuje tehničke standarde za mehanizme certificiranja, pečate i oznake za zaštitu podataka te mehanizme promicanja i priznavanja tih mehanizama certificiranja, pečata i oznaka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

POGLAVLJE V.

Prijenosi osobnih podataka trećim zemljama ili međunarodnim organizacijama

Članak 45.

Prijenosi na temelju odluke o primjerenosti

1. Prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji može se dogoditi kada Komisija odluči da treća zemlja, područje, ili jedan ili više određenih sektora unutar te treće zemlje, ili međunarodna organizacija o kojoj je riječ osigurava primjerenu razinu zaštite. Takav prijenos ne zahtijeva posebno odobrenje.

2. Prilikom procjene primjerenosti stupnja zaštite Komisija osobito uzima u obzir sljedeće elemente:

(a)

vladavinu prava, poštovanje ljudskih prava i temeljnih sloboda, relevantno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, kao i provedbu tog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere sigurnosti, što uključuje pravila za daljnji prijenos osobnih podataka još jednoj trećoj zemlji ili međunarodnoj organizaciji, koja se poštuju u toj trećoj zemlji ili međunarodnoj organizaciji, sudsku praksu te postojanje djelotvornih i provedivih prava ispitanika te učinkovite upravne i sudske zaštite ispitanika čiji se osobni podaci prenose;

(b)

postojanje i djelotvorno funkcioniranje jednog neovisnog nadzornog tijela ili više njih u trećoj zemlji, ili tijela kojem podliježe međunarodna organizacija, s odgovornošću osiguravanja i provođenja poštovanja pravila o zaštiti podataka, što uključuje primjerene provedbene ovlasti za pomoć ispitanicima i savjetovanje ispitanika u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima država članica; i

(c)	međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela, ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata, kao i iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima, osobito u vezi sa zaštitom osobnih podataka.

3. Komisija nakon procjene primjerenosti stupnja zaštite može putem provedbenog akta odlučiti da treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka. U provedbenom aktu predviđa se mehanizam za periodično preispitivanje, najmanje svake četiri godine, kojim će se uzeti u obzir svi relevantni događaji u toj trećoj zemlji ili međunarodnoj organizaciji. U provedbenom aktu precizira se teritorijalna i sektorska primjena, a prema potrebi utvrđuje se i nadzorno tijelo ili nadzorna tijela iz stavka 2. točke (b) ovog članka. Provedbeni akt donosi se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

4. Komisija kontinuirano prati razvoj događaja u trećim zemljama i međunarodnim organizacijama koji bi mogli utjecati na funkcioniranje odluka donesenih u skladu sa stavkom 3. ovog članka i odluka donesenih na temelju članka 25. stavka 6. Direktive 95/46/EZ.

5. Ako dostupne informacije otkrivaju, a osobito nakon preispitivanja iz stavka 3. ovog članka, da treća zemlja, područje ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija više ne osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka u mjeri u kojoj je to potrebno, Komisija provedbenim aktima stavlja izvan snage, mijenja ili suspendira odluku iz stavka 3. ovog članka bez retroaktivnog učinka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2.

Zbog valjano utemeljenih krajnje hitnih razloga, Komisija donosi odmah primjenjive provedbene akte u skladu s postupkom iz članka 93. stavka 3.

6. Komisija započinje savjetovanje s trećom zemljom ili međunarodnom organizacijom radi popravljanja stanja koje je dovelo do odluke u skladu sa stavkom 5.

7. Odluka u skladu sa stavkom 5. ovog članka ne dovodi u pitanje prijenose osobnih podataka u treću zemlju, na područje, ili u jedan ili više određenih sektora unutar te treće zemlje, ili međunarodnu organizaciju o kojoj je riječ u skladu s člancima od 46. do 49.

8. U Službenom listu Europske unije i na svojoj internetskoj stranici Komisija objavljuje popis trećih zemalja, područja i određenih sektora unutar treće zemlje i međunarodnih organizacija u pogledu kojih je donijela odluku da ne osiguravaju odgovarajuću razinu zaštite ili da je više ne osiguravaju.

9. Odluke koje je Komisija donijela na temelju članka 25. stavka 6. Direktive 95/46/EZ ostaju na snazi dok se ne izmijene, zamijene ili stave izvan snage odlukom Komisije donesenom u skladu sa stavkom 3. ili 5. ovog članka.

Članak 46.

Prijenosi koji podliježu odgovarajućim zaštitnim mjerama

1. Ako nije donesena odluka na temelju članka 45. stavka 3., voditelj obrade ili izvršitelj obrade trećoj zemlji ili međunarodnoj organizaciji osobne podatke mogu prenijeti samo ako je voditelj obrade ili izvršitelj obrade predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita.

2. Odgovarajuće zaštitne mjere iz stavka 1. mogu, bez potrebe za ikakvim posebnim ovlaštenjem nadzornog tijela, pružati:

(a)	pravno obvezujući i provedivi instrument između tijela javne vlasti ili javnih tijela;

(b)	obvezujuća korporativna pravila u skladu s člankom 47.;

(c)	standardne klauzule o zaštiti podataka koje donosi Komisija u skladu s postupkom ispitivanja iz članka 93. stavka 2.;

(d)	standardne klauzule o zaštiti podataka koje donosi nadzorno tijelo i koje Komisija odobrava u skladu s postupkom ispitivanja iz članka 93. stavka 2.;

(e)	odobreni kodeks ponašanja u skladu s člankom 40. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, među ostalim u pogledu prava ispitanika; ili

(f)	odobreni mehanizam certificiranja u skladu s člankom 42. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, između ostalog u pogledu prava ispitanika.

3. Pod uvjetom da to odobri nadležno nadzorno tijelo, odgovarajuće zaštitne mjere iz stavka 1. konkretno mogu pružiti i:

(a)	ugovorne klauzule između voditelja obrade ili izvršitelja obrade i voditelja obrade, izvršitelja obrade ili primatelja osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji; ili

(b)	odredbe koje treba unijeti u administrativne dogovore između tijela javne vlasti ili javnih tijela i koja sadrže provediva i djelotvorna prava ispitanika.

4. Nadzorno tijelo u slučajevima iz stavka 3. ovog članka primjenjuje mehanizam konzistentnosti iz članka 63.

5. Odobrenja države članice ili nadzornog tijela na temelju članka 26. stavka 2. Direktive 95/46/EZ ostaju valjana dok ih nadzorno tijelo prema potrebi ne izmijeni, zamijeni ili stavi izvan snage. Odluke koje je Komisija donijela na osnovi članka 26. stavka 4. Direktive 95/46/EZ ostaju na snazi dok se prema potrebi ne izmijene, zamijene ili stave izvan snage odlukom Komisije donesenom u skladu sa stavkom 2. ovog članka.

Članak 96.

Odnos s prethodno sklopljenim sporazumima

Međunarodni sporazumi koji uključuju prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama koje su države članice sklopile prije 24. svibnja 2016., a koji su u skladu s pravom Unije primjenjivim prije tog datuma, ostaju na snazi dok ih se ne izmijeni, zamijeni ili stavi izvan snage.

Članak 99.

Stupanje na snagu i primjena

1. Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

2. Primjenjuje se od 25. svibnja 2018.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 27. travnja 2016.

Za Europski parlament

Predsjednik

M. SCHULZ

Za Vijeće

Predsjednica

J.A. HENNIS-PLASSCHAERT

(1) SL C 229, 31.7.2012., str. 90.

(2) SL C 391, 18.12.2012., str. 127.

(3) Stajalište Europskog parlamenta od 12. ožujka 2014. (još nije objavljeno u Službenom listu) i stajalište Vijeća u prvom čitanju od 8. travnja 2016. (još nije objavljeno u Službenom listu). Stajalište Europskog parlamenta od 14. travnja 2016.

(4) Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, 23.11.1995., str. 31.).

(5) Preporuka Komisije od 6. svibnja 2003. o definiciji mikropoduzeća te malih i srednjih poduzeća (C(2003) 1422) (SL L 124, 20.5.2003., str. 36.).

(6) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.).

(7) Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (vidjeti stranicu 89. ovoga Službenog lista).

(8) Direktiva 2000/31/EZ Europskog parlamenta i Vijeća od 8. lipnja 2000. o određenim pravnim aspektima usluga informacijskog društva na unutarnjem tržištu, posebno elektroničke trgovine (Direktiva o elektroničkoj trgovini) (SL L 178, 17.7.2000., str. 1.).

(9) Direktiva 2011/24/EU Europskog parlamenta i Vijeća od 9. ožujka 2011. o primjeni prava pacijenata u prekograničnoj zdravstvenoj skrbi (SL L 88, 4.4.2011., str. 45.).

(10) Direktiva Vijeća 93/13/EEZ od 5. travnja 1993. o nepoštenim uvjetima u potrošačkim ugovorima (SL L 95, 21.4.1993., str. 29.).

(11) Uredba (EZ) br. 1338/2008 Europskog parlamenta i Vijeća od 16. prosinca 2008. o statističkim podacima Zajednice o javnom zdravlju i zdravlju i sigurnosti na radnom mjestu (SL L 354, 31.12.2008., str. 70.).

(12) Uredba (EZ) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

(13) Uredba (EU) br. 1215/2012 Europskog parlamenta i Vijeća od 12. prosinca 2012. o nadležnosti, priznavanju i izvršenju sudskih odluka u građanskim i trgovačkim stvarima (SL L 351, 20.12.2012., str. 1.).

(14) Direktiva 2003/98/EZ Europskog parlamenta i Vijeća od 17. studenoga 2003. o ponovnoj uporabi informacija javnog sektora (SL L 345, 31.12.2003., str. 90.).

(15) Uredba (EU) br. 536/2014 Europskog parlamenta i Vijeća od 16. travnja 2014. o kliničkim ispitivanjima lijekova za primjenu kod ljudi te o stavljanju izvan snage Direktive 2001/20/EZ (SL L 158, 27.5.2014., str. 1.).

(16) Uredba (EZ) br. 223/2009 Europskog parlamenta i Vijeća od 11. ožujka 2009. o europskoj statistici i stavljanju izvan snage Uredbe (EZ, Euratom) br. 1101/2008 Europskog parlamenta i Vijeća o dostavi povjerljivih statističkih podataka Statističkom uredu Europskih zajednica, Uredbe Vijeća (EZ) br. 322/97 o statistici Zajednice i Odluke Vijeća 89/382/EEZ, Euratom o osnivanju Odbora za statistički program Europskih zajednica (SL L 87, 31.3.2009., str. 164.).

(17) SL C 192, 30.6.2012., str. 7.

(18) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).

(19) Direktiva (EU) 2015/1535 Europskog parlamenta i Vijeća od 9. rujna 2015. o utvrđivanju postupka pružanja informacija u području tehničkih propisa i pravila o uslugama informacijskog društva (SL L 241, 17.9.2015., str. 1.).

(20) Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30.).

(21) Uredba (EZ) br. 1049/2001 Europskog parlamenta i Vijeća od 30. svibnja 2001. o javnom pristupu dokumentima Europskog parlamenta, Vijeća i Komisije (SL L 145, 31.5.2001., str. 43.).

whereas

(2) Načela i pravila o zaštiti pojedinaca u vezi s obradom njihovih osobnih podataka trebala bi poštovati njihova temeljna prava i slobode, a posebno njihovo pravo na zaštitu osobnih podataka, bez obzira na nacionalnost ili boravište pojedinaca.
Ovom Uredbom želi se doprinijeti uspostavi područja slobode, sigurnosti i pravde te gospodarske unije, gospodarskom i socijalnom napretku, jačanju i približavanju gospodarstava na unutarnjem tržištu te dobrobiti pojedinaca.

- = -

(42) Ako se obrada temelji na privoli ispitanika, voditelj obrade trebao bi moći dokazati da je ispitanik dao privolu za postupak obrade.
Zaštitnim mjerama, posebno u kontekstu pisane izjave o drugom pitanju, trebalo bi se osigurati da je ispitanik svjestan činjenice da daje privolu i do koje mjere se ona daje.
U skladu s Direktivom Vijeća 93/13/EEZ (10) izjavu o privoli koju je unaprijed sastavio voditelj obrade trebalo bi ponuditi u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te u njoj ne bi smjelo biti nepoštenih uvjeta.
Da bi ispitanik mogao dati privolu informiran, trebao bi barem znati identitet voditelja obrade i svrhe obrade za koju se upotrebljavaju osobni podaci.
Ne može se smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica.

- = -

(49) Obrada osobnih podataka u mjeri koja je nužna i proporcionalna za potrebe osiguravanja sigurnosti mreže i informacija, odnosno sposobnosti mreže ili informacijskog sustava da se odupre, na danom stupnju povjerljivosti, slučajnim događajima ili nezakonitim ili zlonamjernim radnjama koje ugrožavaju dostupnost, autentičnost, integritet i povjerljivost pohranjenih ili prenesenih osobnih podataka te sigurnost povezanih usluga koje nude ili koje su dostupne putem tih mreža i sustava, koju provode tijela javne vlasti, jedinice za hitne računalne intervencije (CERT-ovi), jedinice za računalne sigurnosne incidente (CSIRT-ovi), pružatelji elektroničkih komunikacijskih mreža i usluga te davatelji sigurnosnih tehnologija i usluga smatra se legitimnim interesom dotičnog voditelja obrade podataka.
To bi, na primjer, moglo uključivati sprečavanje neovlaštenog pristupa elektroničkim komunikacijskim mrežama i širenja zlonamjernih kodova te zaustavljanje napada „uskraćivanjem usluge” te sprečavanje štete na računalnim i elektroničkim komunikacijskim sustavima.

- = -

(53) Posebne kategorije osobnih podataka koje zaslužuju veći stupanj zaštite trebale bi se obrađivati samo u svrhe povezane sa zdravljem radi ostvarivanja tih svrhâ u korist pojedinaca i društva u cjelini, pogotovo u kontekstu upravljanja uslugama i sustavima zdravstvene ili socijalne skrbi, u što se ubraja i obrada takvih podataka koju u svrhu kontrole kvalitete, informacija o upravljanju i općeg nacionalnog i lokalnog nadzora sustava zdravstvene ili socijalne skrbi provode uprava i središnja nacionalna tijela nadležna za zdravlje i u svrhu osiguravanja kontinuiteta zdravstvene ili socijalne skrbi i prekogranične zdravstvene skrbi ili u svrhe zdravstvene zaštite, nadzora i uzbunjivanja, ili u svrhe arhiviranja u javnom interesu,u svrhe znanstvenih ili povijesnih istraživanja ili u statističke svrhe utemeljene na pravu Unije ili pravu države članice i čime treba ostvariti cilj od javnog interesa, kao i za studije koje se provode u javnom interesu u području javnog zdravlja.
Stoga bi se ovom Uredbom trebali utvrditi usklađeni uvjeti za obradu posebnih kategorija osobnih podataka koji se odnose na zdravlje, za posebne potrebe, osobito kada obradu takvih podataka za određene zdravstvene svrhe provode osobe koje podliježu zakonskoj obvezi čuvanja poslovne tajne.
Pravom Unije ili pravom države članice trebalo bi predvidjeti specifične i primjerene mjere za zaštitu temeljnih prava i osobnih podataka pojedinaca.
Državama članicama trebalo bi omogućiti zadržavanje ili uvođenje dodatnih uvjeta, uključujući ograničenja, u vezi s obradom genetskih podataka, biometrijskih podataka ili podataka koji se odnose na zdravlje.
Međutim, to ne bi trebalo spriječiti slobodan protok osobnih podataka unutar Unije ako se ti uvjeti primjenjuju na prekograničnu obradu takvih podataka.

- = -

(67) Metode kojima se ograničava obrada osobnih podataka mogle bi, među ostalim, uključivati privremeno premještanje odabranih osobnih podataka u drugi sustav obrade, činjenje odabranih podataka nedostupnima za korisnike ili privremeno uklanjanje objavljenih podataka s internetske stranice.
U automatiziranim sustavima pohrane ograničavanje obrade u načelu bi trebalo osigurati tehničkim sredstvima na način da osobni podaci nisu predmet daljnjih obrada i da se ne mogu mijenjati. Činjenicu da je obrada osobnih podataka ograničena trebalo bi jasno navesti u sustavu.

- = -

(68) Radi dodatnog jačanja nadzora nad vlastitim podacima, kada se obrada obavlja automatskim putem, ispitaniku bi se također trebalo dopustiti da osobne podatke koji se odnose na njega, a koje je dao voditelju obrade dobije u strukturiranom, uobičajeno upotrebljavanom, strojno čitljivom i interoperabilnom formatu i da ih prenese drugom voditelju obrade.
Voditelje obrade trebalo bi poticati na razvijanje interoperabilnih formata koji omogućuju prenosivost podataka.
To bi se pravo trebalo primjenjivati u slučajevima kad je ispitanik osobne podatke da ona temelju svoje privole ili kad je obrada nužna za izvršenje ugovora.
To se pravo ne bi smjelo primjenjivati ako se obrada temelji na drugoj pravnoj osnovi koja nije privola ili ugovor.
Samom svojom prirodom to se pravo ne može ostvariti u slučaju da voditelji obrade osobne podatke obrađuju u okviru svojih javnih dužnosti.
Stoga se ono ne bi smjelo primjenjivati ako je obrada osobnih podataka nužna kako bi se poštovala pravna obveza kojoj voditelj obrade podliježe ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade.
Pravo ispitanika na prijenos ili primanje osobnih podataka koji se odnose na njega ne bi trebalo obvezivati voditelja obrade da upotrebljava ili održava tehnički kompatibilne sustave za obradu.
Ako se određeni skup osobnih podataka odnosi na više ispitanika, pravo na primanje tih osobnih podataka ne bi smjelo dovoditi u pitanje prava i sloboda ostalih ispitanika u skladu s ovom Uredbom.
Nadalje, tim pravom također se ne bi smjelo dovoditi u pitanje pravo ispitanika na brisanje osobnih podataka, kao i ograničenja tog prava, kako je navedeno u ovoj Uredbi, te ono osobito ne bi smjelo podrazumijevati brisanje osobnih podataka koji se odnose na ispitanika, koje je on dostavio u svrhu izvršavanja ugovora, u mjeri u kojoj su ti osobni podaci potrebni za izvršavanje tog ugovora i koliko god su potrebni.
Ako je tehnički izvedivo, ispitanik bi trebao imati pravo na to se osobni podaci prenose izravno između voditelja obrade.

- = -

(70) Ako se osobni podaci obrađuju u svrhu izravnog marketinga, ispitanik bi trebao imati pravo prigovora na takvu obradu, uključujući izradu profila u mjeri u kojoj je povezana s takvim izravnim marketingom, bilo u odnosu na početnu ili daljnju obradu, u bilo koje vrijeme i besplatno.
To bi se pravo ispitaniku trebalo izričito dati na znanje i predstaviti mu se jasno i odvojeno od svih drugih informacija.

- = -

(74) Trebalo bi uspostaviti dužnosti i odgovornosti voditelja obrade za svaku obradu osobnih podataka koju provede sm voditelj obrade ili netko drugi u ime voditelja obrade.
Osobito, voditelj obrade trebao bi imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati usklađenost aktivnosti obrade s ovom Uredbom uključujući i djelotvornost mjera.
Tim bi mjerama u obzir trebalo uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca.

- = -

(92) U nekim okolnostima može biti razumno i ekonomično da procjena učinka na zaštitu podataka obuhvaća više od jednog projekta i tematski šire područje, na primjer ako tijela javne vlasti ili javna tijela namjeravaju uspostaviti zajedničku aplikaciju ili platformu za obradu ili ako nekoliko voditelja obrade namjerava uvesti zajedničku aplikaciju ili okruženje za obradu u cijeli jedan industrijski sektor ili segment ili za horizontalnu djelatnost široke uporabe.

- = -

(94) Ako se u procjeni učinka na zaštitu podataka pokaže da bi obrada u nedostatku zaštitnih mjera, sigurnosnih mjera i mehanizama za umanjivanje rizika dovela do visokog rizika za prava i slobode pojedinaca, a voditelj obrade smatra da se taj rizik ne može umanjiti razumnim mjerama u pogledu dostupne tehnologije i troškova provedbe, prije početka obrade trebalo bi se savjetovati s nadzornim tijelom.
Takav visok rizik vjerojatno će proizaći iz određenih vrsta obrade i opsega i učestalosti obrade, što može također prouzročiti štetu ili ometanje prava i slobode ispitanika.
Nadzorno tijelo trebalo bi odgovoriti na zahtjev za savjetovanje u određenom vremenskom roku.
Međutim, izostanak reakcije nadzornog tijela u tom roku ne bi smio utjecati na bilo koju intervenciju nadzornog tijela u skladu sa njegovim zadaćama i ovlastima iz ove Uredbe, uključujući ovlast da zabrani postupke obrade.
Rezultat procjene učinka na zaštitu podataka koja je provedena u vezi s dotičnom obradom može se kao dio tog postupka savjetovanja dostaviti nadzornom tijelu, a osobito mjere predviđene za umanjivanje rizika za prava i slobode pojedinaca.

- = -

(105) Osim međunarodnih obveza koje su treća zemlja ili međunarodna organizacija preuzele, Komisija bi trebala uzeti u obzir obveze koje proizlaze iz sudjelovanja treće zemlje ili međunarodne organizacije u multilateralnim ili regionalnim sustavima, posebno u odnosu na zaštitu osobnih podataka, kao i provedbu tih obveza.
Posebno bi trebalo uzeti u obzir pristupanje treće zemlje Konvenciji Vijeća Europe od 28.
siječnja 1981.
o zaštiti pojedinaca vezanoj uz automatsku obradu osobnih podataka te njezin Dodatni protokol.
Komisija bi se trebala savjetovati s Odborom kada ocjenjuje razinu zaštite u trećim zemljama ili međunarodnim organizacijama.

- = -

(119) Ako država članica osnuje nekoliko nadzornih tijela, zakonom bi trebala uspostaviti mehanizme za osiguravanje djelotvornog sudjelovanja tih nadzornih tijela u mehanizmu konzistentnosti.
Ta bi država članica osobito trebala imenovati nadzorno tijelo koje djeluje kao jedinstvena kontaktna točka za djelotvorno sudjelovanje tih tijela u mehanizmu kako bi se osigurala brza i neometana suradnja s drugim nadzornim tijelima, Odborom i Komisijom.

- = -

(135) Radi osiguravanja dosljedne primjene ove Uredbe u cijeloj Uniji trebalo bi uspostaviti mehanizam konzistentnosti za suradnju među nadzornim tijelima.
Taj bi se mehanizam posebno trebao primjenjivati ako nadzorno tijelo namjerava donijeti mjeru kojom se poduzimaju pravni učinci u pogledu postupaka obrade koji bitno utječu na veliki broj ispitanika u više država članica.
Također bi se trebao primjenjivati kada bilo koje predmetno nadzorno tijelo ili Komisija traži da se takva pitanja rješavaju mehanizmom konzistentnosti.
Taj mehanizam ne bi trebao utjecati na bilo koje mjere koje Komisija može poduzeti za izvršavanje svojih ovlasti prema Ugovorima.

- = -

(151) U pravnim sustavima Danske i Estonije nisu dopuštene upravne novčane kazne kako su navedene u ovoj Uredbi.
Pravila za upravne novčane kazne mogu se primjenjivati na način da u Danskoj nadležni nacionalni sudovi izriču novčanu kaznu kao kaznenu sankciju, a da u Estoniji nadzorno tijelo izriče novčanu kaznu u okviru prekršajnog postupka, pod uvjetom da takva primjena pravilâ u tim državama članicama ima istovrijedni učinak kao i upravne novčane kazne koje izriču nadzorna tijela.
Stoga bi nadležni nacionalni sudovi trebali uzeti u obzir preporuku nadzornog tijela koje ukaže na novčanu kaznu.
U svakom slučaju novčane kazne trebale bi biti učinkovite, proporcionalne i odvraćajuće.

- = -

(168) Za donošenje provedbenih akata o standardnim ugovornim klauzulama između voditelja obrade i izvršitelja obrade te među izvršiteljima obrade; kodeksima ponašanja; tehničkim standardima i mehanizmima certificiranja; primjerenom stupnju zaštite u trećoj zemlji, na području ili u određenom sektoru unutar treće zemlje ili u međunarodnoj organizaciji; standardnim klauzulama o zaštiti; formatima i postupcima za razmjenu informacija elektroničkim putem među voditeljima obrade, izvršiteljima obrade i nadzornim tijelima za obvezujuća korporativna pravila; uzajamnoj pomoći; sustavima za razmjenu informacija elektroničkim putem između nadzornih tijela i između nadzornih tijela i Odbora trebalo primjenjivati postupak ispitivanja.

- = -

(171) Direktiva 95/46/EZ trebala bi se ovom Uredbom staviti izvan snage.
Obrade koje su već u tijeku na datum početka primjene ove Uredbe trebalo bi uskladiti s ovom Uredbom u roku od dvije godine nakon što ova Uredba stupi na snagu.
Ako se obrada temelji na privoli na temelju Direktive 95/46/EZ te ako je način na koji je ta privola dana u skladu s uvjetima iz ove Uredbe, nije potrebno da ispitanik ponovno daje svoju privolu kako bi se voditelju obrade omogućio nastavak takve obrade nakon datuma početka primjene ove Uredbe.
Donesene odluke Komisije i odobrenja nadzornih tijela koja se temelje na Direktivi 95/46/EZ ostaju na snazi dok ih se ne izmijeni, zamijeni ili stavi izvan snage.

- = -

dal 2004 diritto e informatica